Ciberdelincuentes aprovechan la Copa del Mundo para lanzar engaños

Faltan pocos días para que comience la Copa Mundial de la FIFA Catar 2022, un evento que atrae la atención de millones de fanáticos a lo largo de todo el mundo, y también de cibercriminales que tratan de sacar partido del interés que genera.

La empresa de detección proactiva de amenazas ESET dijo que los ciberdelincuentes están utilizando distintos modelos de correos falsos con referencia a la Copa del Mundo haciendo creer a las personas que ganaron un sorteo o entradas para los partidos. La verdadera intención siempre es la misma: robar datos personales, dinero o descargar malware o una app de dudosa reputación en el equipo de la víctima.

El equipo de investigación de ESET detectó distintos ejemplos de campañas de phishing a nivel global que intentan hacer creer a las personas que su dirección de correo ha sido la ganadora de una cifra millonaria en un sorteo. Para cobrar el dinero, la persona debe responder con un correo electrónico completando un formulario que solicita una larga lista de datos personales, como nombre completo, fecha de nacimiento, número de teléfono, ocupación, entre otros. Adicionalmente, proporcionan el nombre y número de teléfono de una persona de contacto que supuestamente ayudará al ganador a recibir el premio.

En este tipo de engaños, el agente por lo general inventa alguna excusa para enviar el dinero, como el pago de un impuesto, y de esta manera roba su dinero, en tanto los datos recolectados pueden ser comercializados. Por ejemplo, ESET detectó correos de phishing, tanto en inglés como en español, con asuntos como: “Qatar World Cup 2022 Lottery Winner”, “QATAR 2022 FIFA LOTTERY WINNER” o “FELICITACIONES SU CORREO ELECTRÓNICO HA GANADO QATAR FIFA 2022 MEGA WORLD CUP LOTTERY.

Otro ejemplo, reportado hace unas semanas, intentaba hacer creer a las potenciales víctimas que habían ganado entradas para ver el primer partido del Mundial.

Además de los correos de phishing, los atacantes pueden crear sitios falsos que son distribuidos a través de anuncios maliciosos, correos de spam, perfiles falsos u otras vías. Independientemente de si estos sitios son copias de sitios legítimos o no, ESET destaca que suelen ser utilizados para robar datos personales, credenciales, datos financieros u otra información sensible, e incluso ser utilizados para descargar malware o una app de dudosa reputación.

Uno de esos sitios falsos se hace pasar por el sitio oficial de Qatar 2022, cuya URL es https://www.qatar2022.qa. Si se observa la imagen, se aprecia que la URL es muy similar a la del sitio oficial. Desde este sitio falso, los cibercriminales ofrecen la posibilidad de obtener entradas, pero solicitan primero completar un formulario donde recolectan una gran cantidad de datos personales que luego podrán ser comercializados o utilizados en posteriores ataques de ingeniería social.

Algunas personas reportaron haber sido contactadas por correos electrónicos ofreciéndoles entradas a la venta, e incluso en grupos de Reddit se ofrecen falsas entradas impresas, según aseguran algunos usuarios. ESET aclara que las entradas oficiales serán digitales y no habrá entradas físicas para acceder a los partidos de Catar 2022. La única forma de comprar boletos es a través del sitio oficial FIFA.com/tickets.

Por otra parte, la reventa de entradas no autorizadas está prohibida en el país y las sanciones pueden ser muy severas. La única manera de revender las entradas y comprarlas es a través de la plataforma oficial para la reventa de entradas de la FIFA. La información sobre la compra de entradas, la reventa y los sitios autorizados se encuentra en la página oficial de la FIFA.

“Es probable que otras formas de engaño utilicen la temática de la Copa del Mundo para atraer a las personas. Por ejemplo, a través de falsos regalos o sorteos a través de WhatsApp, falsos perfiles en redes sociales o incluso anuncios maliciosos que redirigen a sitios maliciosos. Además, recomendamos estar atentos a los fraudes entorno al lanzamiento de nuevos tokens. Como ya hemos visto en otros casos, los estafadores suelen crear tokens utilizando temas del momento, como fue la estafa Rug Pull con el token Squid, que utilizó el nombre de la serie Squid Game (“El juego del calamar”) cuando se volvió furor en todo el mundo”, comentó Camilo Gutiérrez Amaya, jefe del Laboratorio de Investigación de ESET Latinoamérica.